Google kod bilan bog‘liq bo‘lgan barcha bog‘liqliklar zanjirini hisobga olgan holda kod va ilovalarda tuzatilmagan zaifliklarni tekshirish uchun OSV-Scanner asboblar to‘plamini taqdim etdi. OSV-Scanner sizga bog'liqlik sifatida foydalaniladigan kutubxonalardan biridagi muammolar tufayli ilova zaif bo'lib qoladigan vaziyatlarni aniqlash imkonini beradi. Bunday holda, zaif kutubxona bilvosita ishlatilishi mumkin, ya'ni. boshqa qaramlik orqali chaqirilishi mumkin. Loyiha kodi Go-da yozilgan va Apache 2.0 litsenziyasi ostida tarqatiladi.
OSV-Scanner katalog daraxtini avtomatik ravishda rekursiv ravishda skanerlashi, Git kataloglarining mavjudligiga qarab loyihalar va ilovalarni aniqlashi (zaiflik haqidagi ma'lumotlar commit xeshlarini tahlil qilish orqali aniqlanadi), SBOM fayllari (SPDX va CycloneDX formatlaridagi dasturiy ta'minot materiallari to'plami) va Yarn, NPM, GEM, PIP va Cargo kabi paket menejerlaridan fayllarni namoyish qilishi yoki bloklashi mumkin. Shuningdek, u omborlardagi paketlardan yaratilgan Docker konteyner tasvirlarining foydali yukini skanerlashni qo'llab-quvvatlaydi. Debian.
Zaiflik haqidagi ma'lumotlar OSV (Ochiq kodli zaifliklar) ma'lumotlar bazasidan olingan bo'lib, u quyidagi omborlardagi xavfsizlik muammolari haqidagi ma'lumotlarni o'z ichiga oladi: Crate.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian va Alpine, shuningdek, yadro zaifliklari ma'lumotlari Linux va GitHub’da joylashtirilgan loyihalardagi zaifliklar haqidagi hisobotlardan olingan ma’lumotlar. OSV ma’lumotlar bazasi muammoning tuzatish holatini, zaiflikni keltirib chiqargan va tuzatgan commitlarni, ta’sirlangan versiyalar diapazonini, loyihaning kod omboriga havolalarni va muammo haqida bildirishnomani aks ettiradi. Taqdim etilgan API commit va teg darajasida zaiflikni aniqlash va zaiflikning hosilaviy mahsulotlar va bog‘liqliklarga ta’sirini tahlil qilish imkonini beradi.
Manba: opennet.ru
